가장 기본적인 취약점으로 관리자의 부주의나 실수가 대부분

[보안뉴스 권 준] 한 전력·에너지 관련 중소기업 홈페이지에서 디렉터리 리스팅 취약점이 발견됐다. 이로 인해 중소기업 홈페이지의 경우 디렉터리 리스팅 취약점과 같은 낮은 단계의 보안취약점에도 무방비로 노출된 것이 아니냐는 우려가 커지고 있다.

디렉터리 리스팅 취약점은 웹 서버의 설정 미숙으로 서버의 디렉터리 및 파일 목록이 노출되고, 자료의 열람 및 다운로드가 가능하게 되는 취약점을 의미하는데, 가장 기본적인 취약점에 속한다.

이번 취약점을 발견해 본지에 제보한 청소년 해킹·보안팀 Little Rascal의 리더인 염세현 군은 “전력·에너지 관련 기업 A사 웹사이트에서 디렉터리 리스팅 취약점이 발견됐다”며, “웹사이트 뒷부분에 ‘/admin/goods’를 입력해보니 디렉터리가 노출됐다”고 밝혔다. 이어 노출된 디렉터리 가운데 하나를 선택해서 들어가니 세부내용 및 관련 자료를 열람할 수 있었다는 것.

이렇게 될 경우 세부항목 내의 게시물을 수정할 수 있고, 이를 통해 HTML 태그를 이용한 악성태그를 삽입하면 추가적인 피해도 우려된다는 것이다.

염군은 “이러한 취약점은 관리자의 실수나 부주의로 일어나는 취약점이지만, 이로 인해 발생할 수 있는 보안위협은 상당히 치명적”이라고 말했다. 

이번 취약점의 대응방안으로는 우선 인터넷 망 연결 서비스(IIS : Internet Interconnection Service)의 웹 서버에서 디렉터리 검색 메뉴가 체크돼 있다면 이를 해제시켜야 한다는 게 염군의 설명이다.

이와 함께 아파치 웹 서버의 설정 파일 httpd.conf에서 Indexes 옵션이 온(on)되어 있는 경우에도 디렉터리 리스팅 취약점이 나타날 수 있다. 

그리고 또 한 가지는 구글에서 검색이 되지 않도록 하기 위해 www.xxx.co.kr/robots.txt처럼 홈페이지의 최상위 주소에 robots.txt를 추가시켜야 한다고 염군은 덧붙였다. 그리고 robots.txt는 다음의 내용을 기재한 후, 저장해야 한다.  

이와 관련 염군은 “최근 해킹 가운데 상당수가 구글 검색에 의해 노출되면서 이루어지기 때문에 robots.txt를 기본적으로 추가해야만 구글 검색을 통해 홈페이지의 내부 정보 및 자료가 유출되는 것을 차단할 수 있다”고 밝혔다.

이에 따라 본지는 디렉터리 리스팅 취약점이 발견된 A사에 이를 통보하고 이에 대한 조치를 요청했지만, 웹사이트 관리자가 휴가라는 이유로 아직까지 별다른 조치가 취해지지 않은 상황이다. 이렇듯 많은 중소기업이 홈페이지 관리 및 보안 측면에는 별다른 관심이 없는 게 작금의 현실이다.  

특히, 디렉터리 리스팅 취약점은 관리자의 부주의나 실수로 일어나는 기본적인 취약점이라고 할 수 있다. 그렇기에 기업의 홈페이지 관리자들은 무엇보다 앞서 지적한 2가지 사항을 우선 확인해보고, 이를 필수적으로 적용시키는 일이 무엇보다 시급해 보인다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>